异常检测规则

异常规则

在与较长的时间范围进行比较时，测试事件和流流量以了解短期事件的变化。例如，网络中出现的新服务或应用程序、Web 服务器崩溃、防火墙都开始拒绝流量。

示例：您希望在某个防火墙设备报告的频率高于平时时收到通知，因为您的网络可能受到攻击。您希望在 1 小时内收到两倍的事件时收到通知。您可以按照以下步骤操作：

• 创建并保存按日志源分组的搜索，并仅显示计数列。

• 将保存的搜索应用于异常规则，并添加规则测试，并且过去 1 小时的计数平均值（每个间隔） 与过去 24 小时内同一属性的平均值（每个间隔）至少相差 100%。

阈值规则

测试事件或流的活动是否大于或小于指定范围。使用这些规则可以检测应用程序中的带宽使用情况变化、失败的服务、连接到 VPN 的用户数以及检测大型出站传输。

示例：涉及上一个事件的用户具有大型出站传输

当用户涉及以前的违规行为时，自动设置要添加到引用集的规则响应。如果您有用户的监视列表，请将其添加到引用集中。调整阈值规则内的可接受限制。

搜索需要引用集、监视用户和密钥：用户名。

完成以下搜索，然后将其应用于阈值规则。

select assetuser(sourceip, now()) as ’srcAssetUser’, Applicationname(applicationid)as ’AppName’, long(sum(sourcebytes +destinationbytes)) as ’flowsum’ from flows where flowdirection = ’L2R’ and REFERENCESETCONTAINS(’Watchusers’, username)group by ’srcAssetUser’, applicationid order by ’flowsum’ desc last 24 hours

行为规则

测试事件或流中以常规模式发生的卷变化，以检测异常值。例如，具有开放中继并突然与许多主机通信的邮件服务器，或者开始生成大量警报活动的 IPS（入侵保护系统）。

行为规则学习属性在预定义季节内的速率或数量。季节定义了您正在评估的内容的基线比较时间线。当您将季节设置为 1 周时，系统会学习该媒体资源在该 1 周内的行为，然后使用规则测试来提醒您任何重大更改。

设置行为规则后，季节会自动调整。当了解季节中的数据时，会不断对其进行评估，以便在季节内描述业务增长;您不必更改规则。行为规则运行的时间越长，它就越准确。然后，您可以调整规则响应以捕获更细微的更改。

下表描述了行为规则测试参数选项。

表 1：行为规则测试定义

规则测试参数	描述
赛季	最重要的价值。季节定义要测试的属性以及其他规则测试使用的属性的基线行为。要定义季节，请考虑您正在监控的流量类型。例如，对于包含人工交互的网络流量或流程，1 周是一个不错的季节时间范围。为了跟踪模式一致的自动化服务，您可能需要创建一个短至 1 天的季节来定义该行为模式。
当前流量级别	考虑了季节性变化和随机误差的原始数据的权重。此规则测试提出以下问题：“数据是否同时与昨天相同？
当前流量趋势	每个时间间隔内数据更改的权重。此规则测试提出以下问题：“将这一分钟与前一分钟进行比较时，数据发生了多大变化？
当前流量行为	每个期间的季节性影响的权重。此规则测试提出以下问题：“数据从第 2 周到第 3 周的增加量是否与从第 1 周到第 2 周增加的数量相同？
预测值	使用预测值缩放基线，使警报更加敏感或降低。

第 （n+1） 个区间的值预测使用以下公式计算：

Fn+1 = Bn + Tn + Tn+1-s

其中 F 是预测值，B 是区间 n 的基值，T 是区间 n 的趋势值，T 是季节区间前的趋势值，s 是季节内的区间数。

基值使用以下公式计算：

Bn+1 = (0.2 + 0.3*(<Current traffic level>100.0))*(valuen+1 – Tn+1-s) + (1 – (0.2 + 0.3*(<Current traffic level> /100.0)))*Tn

趋势值使用以下公式计算：

Tn+1 = (0.2 + 0.3*(<Current traffic trend> / 100.0))*(Bn+1 - Bn) + (1 - (0.2 + 0.3*(<Current traffic trend> / 100.0)))*Tn

平滑偏差 D 使用以下公式计算：

Dn+1 = (0.2 + 0.3*(<Current traffic level>/ 100.0))*|valuen+1 – Fn+1| + (1 – (0.2 + 0.3*(<Current traffic level> /100.0)))*Dn+1-s

如果以下表达式为 false，则行为规则会为间隔生成警报：

F – (1 + (sensitivity / 100.0)*3)*D <= value <= F + (1 + (sensitivity / 100.0)*3)*D

在第一季中，行为规则会学习将来的计算，并且不会产生任何警报。

创建异常检测规则

异常检测规则测试保存的流或事件搜索的结果，以搜索网络中出现的异常流量模式。行为规则根据“季节性”流量级别和趋势测试事件和流量。阈值规则测试小于、等于或大于配置阈值或在指定范围内的活动的事件和流流量。

要在日志活动选项卡上创建异常检测规则，您必须具有日志活动维护自定义规则角色权限。

若要在“网络活动”选项卡上创建异常检测规则，必须具有“网络活动 维护自定义规则”角色权限。

若要管理默认和以前创建的异常检测规则，请使用“违规”选项卡上的“规则”页。

创建异常情况检测规则时，将根据保存的搜索条件使用默认测试堆栈填充该规则。您可以编辑默认测试或将测试添加到测试堆栈。测试堆栈中必须至少包含一个 累积属性 测试。

默认情况下，在“规则测试堆栈编辑器”页面上，“单独测试每个 [组] 的 [所选累积属性] 值”选项处于选中状态。

异常检测规则分别测试每个事件或流组的所选累积属性。例如，如果所选累积值为 UniqueCount（sourceIP），则该规则将测试每个事件或流组的每个唯一源 IP 地址。

分别测试每个 [组] 的 [选定的累积属性] 值选项是动态的。[所选累积属性] 值取决于您为默认测试堆栈的“此累积属性测试”字段选择的选项。[group] 值取决于在保存的搜索条件中指定的分组选项。如果包含多个分组选项，则文本可能会被截断。将鼠标指针移到文本上可查看所有组。

1. 单击日志活动或网络活动选项卡。

2. 执行聚合搜索。

   您可以在新的历史搜索中将属性添加到 组中 ，也可以从当前搜索页上的 “显示 ”列表中选择属性。

3. 在搜索结果页上，单击“配置”，然后 配置以下选项：

   1. 从“值到图形”列表中选择一个属性。

   2. 从“值到图形”列表中选择时间序列作为图表类型

   3. 启用捕获时间序列数据复选框。

   4. 单击“保存”，然后输入搜索名称。

   5. 单击“确定”。

   6. 从“时间范围”列表中选择“过去 5 分钟”，同时等待时间序列图加载。

   必须具有在“ 值到图形 ”列表中选择的属性的时序数据，才能对该累积属性运行规则测试。

4. 从 “规则 ”菜单中，选择要创建的规则类型。

   • 添加异常规则

   • 添加阈值规则

   • 添加行为规则

5. 在 “规则测试堆栈编辑器 ”页上的“ 在此处输入 规则名称”字段中，键入要分配给此规则的唯一名称。

6. 若要使用默认测试应用规则，请在异常 测试组 列表中选择第一个规则。

   您可能需要将累积属性参数设置为从搜索条件中保存的“ 值到图形 ”列表中选择的属性。如果希望更快地看到结果，请将百分比设置为较低的值，例如 10%。将 过去 24 小时更改为较短的时间段，例如 1 小时。由于异常检测会实时测试聚合字段以提醒您异常网络活动，因此您可能需要增加或减少网络流量中的事件或流。

7. 向规则添加测试。

   1. 若要筛选“测试组”列表中的选项，请在“要筛选的类型”字段中键入要筛选的文本。

   2. 从“测试组”列表中，选择要添加到此规则的测试类型。

   3. 若要将测试标识为排除的测试，请单击“规则”窗格中测试开头的 和。和显示为和不。

   4. 单击带下划线的可配置参数以自定义测试的变量。

   5. 从对话框中，选择变量的值，然后单击“提交”。

8. 要测试每个事件或流程组的总选定累积属性，请分别禁用 测试每个 [组] 的 [所选累积属性] 值。

9. 在组窗格中，启用要向其分配此规则的组。

10. 在“注释”字段中，键入要为此规则包括的任何 注释 ，然后单击“ 下一步”。

11. 在“规则响应”页上，配置希望此 规则生成的响应 。

    详细了解异常情况检测规则的规则响应页面参数：

    下表提供了规则类型为“异常”时的“规则响应”页参数。

    表 2：异常检测规则响应页面参数

    参数	描述
    调度新事件	指定此规则使用原始事件或流调度新事件，该事件或流的处理方式与系统中的所有其他事件一样。默认情况下，此复选框处于选中状态，无法清除。
    进攻命名	如果希望事件名称信息有助于攻击的名称，请选择“ 此信息应有助于关联攻击的名称 ”选项。 如果希望配置的事件名称参与攻击，请选择“ 此信息应设置或替换关联攻击的名称”。 注意： 替换攻击名称后，在关闭攻击之前，名称不会更改。例如，如果一个冒犯与多个规则相关联，并且最后一个事件未触发配置为覆盖冒犯名称的规则，则上一个事件不会更新冒犯的名称。相反，冒犯名称仍然是替代规则设置的名称。
    严重性	要分配给事件的严重性级别。范围为 0（最低）到 10（最高），默认值为 5。严重性显示在事件详细信息的“注释”窗格中。
    信誉	要分配给日志源的可信度。例如，日志源是嘈杂还是昂贵？使用列表框，选择事件的可信度。范围为 0（最低）到 10（最高），默认值为 5。可信度显示在事件详细信息的“批注”窗格中。
    关联	要分配给资产权重的相关性。例如，您对资产有多关心？使用列表框，选择事件的相关性。范围为 0（最低）到 10（最高），默认值为 5。相关性显示在事件详细信息的“批注”窗格中。
    确保调度的事件是违规行为的一部分	由于这一规则，该事件被转发给治安法官。如果存在违规行为，则会添加此事件。如果未在“冒犯”选项卡上创建任何冒犯，则会创建新的冒犯。
    通知	由此规则生成的事件将显示在 “仪表板 ”选项卡的“系统通知”项目中。如果启用通知，请配置 响应限制器 参数
    发送到本地系统日志	如果要在本地记录事件或流，请选中此复选框。默认情况下，该复选框为清除状态。 注意： 只能在 JSA 设备上本地记录规范化事件。如果要发送原始事件数据，则必须使用“发送到转发目标”选项将数据发送到远程 syslog 主机。
    添加到引用集	将由此规则生成的事件添加到引用集。您必须是管理员才能将数据添加到引用集。 若要将数据添加到引用集，请按照下列步骤操作： 从第一个列表中，选择要添加的事件或流的属性。 从第二个列表中，选择要向其添加指定数据的引用集。
    添加到参考数据	若要使用此规则响应，必须创建引用数据收集。
    从引用集中删除	如果希望此规则从引用集中删除数据，请选中此复选框。 若要从引用集中删除数据，请按照下列步骤操作： 从第一个列表中，选择要删除的事件或流的属性。 从第二个列表中，选择要从中删除指定数据的引用集。
    从参考数据中删除	若要使用此规则响应，必须具有引用数据收集
    执行自定义操作	您可以编写脚本来执行特定操作以响应网络事件。例如，您可以编写一个脚本来创建防火墙规则，以阻止网络上的特定源 IP 地址，以响应重复登录失败的情况。 选中此复选框，然后从“ 要执行的自定义操作 ”列表中选择自定义操作。 您可以使用“管理”选项卡上的“定义操作”图标添加和配置自定义操作。
    在 IF-MAP 服务器上发布	如果在系统设置中配置并部署了 IF-MAP 参数，请选择此选项以发布有关 IF-MAP 服务器的攻击信息。
    响应限制器	选中此复选框并使用列表框配置希望此规则响应的频率
    启用规则	选中此复选框可启用此规则。默认情况下，该复选框处于选中状态。

    SNMP 通知可能类似于：

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description"

    Sep 28 12:39:01 localhost.localdomain ECS: Rule ’Name of Rule’ Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description

12. 单击 下一步。

13. 单击 完成。